안전과 보안의 늪에서 살아남기
2026년 현재, 우리는 기묘한 시대를 살고 있다.
불과 몇 년 전만 해도 자동차는 기름 냄새 풍기며 ‘엔진’으로 달리는 기계였다.
하지만 지금의 자동차는 데이터와 알고리즘으로 굴러가는 ‘바퀴 달린 고성능 컴퓨터’, 즉 SDV(Software Defined Vehicle)다.
이제 자동차를 산다는 것은 이동 수단을 사는 것이 아니라, 거대한 스마트 기기에 내 목숨을 맡기는 행위와 같다.
편리함은 늘었으나, 우리가 감당해야 할 위험의 해상도 역시 그만큼 높아졌다.
안전의 삼중주 : 고장 나지 않는 것만으로는 부족하다
과거의 안전은 단순했다.
“부품이 부러지지 않고, 에어백이 제때 터지면 장땡”이었다.
이것이 바로 우리가 오랫동안 신봉해온 기능 안전(ISO 26262)의 세계다.
시스템 결함만 없으면 안전하다고 믿었던 평화로운 시절의 이야기다.
하지만 운전대를 인공지능에게 넘긴 2026년의 도로는 훨씬 복잡하다.
이제는 시스템이 멀쩡해도 사고가 난다.
강렬한 태양 광선에 카메라가 눈이 멀거나, 짙은 안개 속에서 레이더가 주변 구조물을 장애물로 오인하는 상황이다.
기계는 ‘정상’인데 환경이 ‘위험’을 만든다.
이때 등장하는 구원투수가 바로 SOTIF(ISO 21448)다.
“고장이 없어도 의도한 기능이 실제 환경에서 안전하게 작동하는가”를 따지는 이 기준은 불확실한 미래를 상상하고 대비하는 인간 전두엽의 기능을 닮아 있다.
보안은 안전을 성립시키는 전제 조건
여기에 ‘빌런’들이 가세한다.
자동차가 인터넷에 상시 연결되고 무선 업데이트(OTA)가 일상화되면서 해커들에게 자동차는 매력적인 먹잇감이 됐다.
기능 안전과 SOTIF가 아무리 완벽한 방패를 짜놓아도, 보안이 뚫려 차량 제어권을 탈취당하는 순간 그 방패는 나를 찌르는 창이 된다.
특히 인포테인먼트(IVI) 시스템은 블루투스와 Wi-Fi라는 넓은 관문을 통해 해커들을 환영한다.
IVI를 통해 침투한 악성 코드가 차량 내부 통신망(CAN)을 타고 조향이나 제동 장치로 흘러 들어가는 시나리오는 이제 SF 소설이 아닌 실시간 보안 이슈다.
보안은 이제 안전의 ‘옵션’이 아니라, 안전을 존재하게 하는 ‘뿌리’다.
인증서라는 ‘종이 방패’를 믿지 마라
제조사들은 UN R155(사이버보안) 같은 국제 규정에 따라 인증(CSMS 등)을 받느라 분주하다.
하지만 명심해야 할 점이 있다.
인증은 “우리는 방패 만드는 절차를 갖췄다”라는 선언일 뿐, 그 방패에 금이 가지 않았다는 보증은 아니다.
최근의 규제는 서류 중심에서 실효성 중심으로 이동 중이다.
실제 차량 테스트에서 기술적 결함이 발견되면, 아무리 화려한 인증서를 보유했어도 리콜과 운행 제한이라는 매서운 채찍이 기다린다.
이제는 ‘방패를 만드는 공정’을 자랑할 게 아니라, 실제로 모의 해킹(Pen-Testing)을 통해 방패의 빈틈을 끝까지 찾아내는 ‘집요한 리터러시’가 필요하다.
보안 규제는 이제 승용차를 넘어 ‘움직이는 모든 것’으로 확장되고 있다.
2026년 9월 시행될 Data Act와 2027년의 CRA는 농기계, 건설기계, 심지어 서비스 로봇에게도 엄격한 보안 로그를 요구한다.
미래 모빌리티의 승자는 기능을 많이 넣는 쪽이 아니라, 그 기능을 결함 없이 안전하게 관리하는 쪽이다.
우리는 지금 현실의 자동차를 타는 것일까, 아니면 누군가 설계한 거대한 소프트웨어 시뮬레이션 속을 달리는 것일까?
내 차의 소프트웨어가 오늘 밤에도 몰래 업데이트되어 나를 더 안전한 미래로 데려다주기를, 혹은 적어도 내 전두엽의 불안을 잠재워주기를 바랄 뿐이다.